Vulnerabilidad sin parche en Windows Search URI permite robar hashes NTLMv2

Una vulnerabilidad sin parche en Windows Search URI permite a atacantes robar hashes NTLMv2. Protege tus credenciales con esta alerta de ciberseguridad.

3 jun 2026 • 3 min de lectura • Equipo Q2BSTUDIO

Atacantes roban hashes NTLMv2 mediante vulnerabilidad en search: URI

En el panorama actual de la ciberseguridad, los sistemas operativos Windows siguen enfrentándose a vectores de ataque que explotan mecanismos legítimos del sistema. Investigadores de seguridad han identificado una vulnerabilidad sin parche en el manejador de URI search: que permite a un atacante robar el hash NTLMv2 de un usuario, exponiendo credenciales sensibles sin necesidad de interacción compleja. Este fallo recuerda al recientemente revelado CVE-2026-33829, que afectaba al manejador ms-screensketch: de la herramienta Recortes. La raíz del problema reside en cómo Windows procesa ciertos enlaces desde aplicaciones que invocan el protocolo search:, permitiendo que un atacante fuerce la autenticación NTLM hacia un servidor controlado, revelando así el hash que luego puede ser descifrado offline.

La explotación de esta vía no requiere elevación de privilegios ni software malicioso previo; basta con engañar al usuario para que haga clic en un enlace especialmente diseñado, ya sea desde un correo electrónico, un documento o una página web. Una vez que el sistema envía el hash NTLMv2 al servidor atacante, este puede ser crackeado mediante herramientas modernas o utilizado directamente en ataques de paso de hash (pass-the-hash). Esto supone un riesgo grave para cualquier organización que dependa de Active Directory, ya que compromete la integridad de las cuentas de usuario y puede facilitar movimientos laterales dentro de la red. La ausencia de un parche oficial subraya la necesidad de adoptar medidas proactivas de ciberseguridad, como la monitorización de tráfico sospechoso, la restricción de protocolos de autenticación heredados y la formación continua de los empleados.

Desde una perspectiva empresarial, este tipo de vulnerabilidades pone de manifiesto que la seguridad no puede ser un añadido tardío en el ciclo de vida del software. Las compañías que desarrollan aplicaciones a medida deben integrar controles de seguridad desde la fase de diseño, especialmente cuando sus productos interactúan con el sistema operativo o manejan datos sensibles. En Q2BSTUDIO, entendemos que la protección de la información es un pilar estratégico; por eso ofrecemos servicios especializados en ciberseguridad que incluyen pruebas de penetración, auditorías de configuración y análisis de amenazas como la aquí descrita. Además, nuestra experiencia en servicios cloud aws y azure permite a las organizaciones desplegar entornos seguros, donde se minimiza la exposición de credenciales mediante políticas de acceso condicional y autenticación multifactor.

Más allá de la corrección técnica inmediata –que Microsoft debería abordar en una próxima actualización–, la lección más amplia es que las infraestructuras modernas requieren un enfoque holístico de la ciberseguridad. La inteligencia artificial y los agentes IA pueden automatizar la detección de comportamientos anómalos en el tráfico de autenticación, reduciendo el tiempo de respuesta ante intentos de robo de hashes. Asimismo, la implementación de servicios inteligencia de negocio como power bi ayuda a visualizar patrones de acceso sospechosos y a generar alertas tempranas. Q2BSTUDIO también ofrece ia para empresas que integra modelos predictivos en la gestión de identidades, fortaleciendo la postura defensiva de cualquier corporación. Finalmente, al combinar software a medida con estrategias de seguridad avanzadas, las organizaciones pueden protegerse frente a vulnerabilidades aún sin parche, reduciendo el riesgo de que un ataque como este se convierta en una brecha real. La concienciación sobre este tipo de fallos es el primer paso hacia una cultura de seguridad más madura y resiliente.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

Inteligencia artificial

Agentes de IA, chatbots y asistentes inteligentes que automatizan tareas y atienden a tus clientes 24/7 para mejorar la eficiencia de tu negocio.

Más info

Desarrollo de software

Aplicaciones web, móviles y de escritorio, intranets, e-commerce, SaaS y plataformas de gestión diseñadas para las necesidades concretas de tu empresa.

Más info

Servicios cloud

Migración, infraestructura, hosting gestionado, alta disponibilidad y seguridad en Microsoft Azure y Amazon Web Services para que tu negocio escale sin límites.

Más info

Ciberseguridad y pentesting

Auditorías de seguridad, test de intrusión (pentesting) y protección de aplicaciones, datos e infraestructura on-premise y cloud, con hacking ético y cumplimiento normativo.

Más info

Business Intelligence

Cuadros de mando y análisis de datos con Power BI: integramos tus fuentes, diseñamos dashboards y KPIs y convertimos tus datos en decisiones.

Más info

Automatización de procesos

Automatizamos tareas repetitivas y conectamos tus aplicaciones con n8n, Power Automate, Make y RPA, eliminando trabajo manual y aumentando la productividad.

Más info

Formación para empresas

Formamos a tus equipos en tecnología con criterio: desarrollo web, bases de datos, Git, buenas prácticas y seguridad, automatización con n8n, inteligencia artificial para empresas y creación de soluciones de IA con Azure AI Foundry.

Más info

Auditoría de código

Auditamos el código que creas tú, tu equipo o una IA: te decimos qué está bien y qué mejorar, lo securizamos y lo dejamos listo para producción, web o app.

Más info

Generación de imágenes con IA

Creamos por ti las imágenes que necesita tu negocio con inteligencia artificial: producto, redes, publicidad, ilustración y avatares. Tú nos dices qué quieres y te lo entregamos listo para usar.

Más info

Generación de vídeos con IA

Creamos por ti vídeos con inteligencia artificial: promocionales, para redes, presentadores virtuales, doblaje y animaciones. Nos cuentas la idea y te lo entregamos montado y listo para publicar.

Más info

Avatares conversacionales con IA

Creamos avatares conversacionales con IA —humanos digitales con cara y voz— que atienden a tus clientes y equipos con el conocimiento de tu empresa, en tu web, monitores interactivos, WhatsApp o Teams.

Más info

Marketing Online e IA

Google Ads, Meta Ads, LinkedIn Ads y posicionamiento en motores de IA (GEO/AEO): captamos clientes y hacemos que tu marca aparezca donde te buscan, también en ChatGPT, Gemini y Perplexity.

Más info

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.

Live Chat